Cybersecurity & Privacy

Business continuity e disaster recovery: 2 facce della stessa medaglia

Scritto da Paolo Monini | Jul 28, 2021 10:00:00 PM

La sicurezza informatica è il bene più prezioso. E, per garantirla, ogni organizzazione investe risorse (economiche e umane), attenzione e strumenti di controllo: prevedere e saper gestire un imprevisto è fondamentale.

In questa attività di difesa, le due facce della stessa medaglia sono rappresentate dalla business continuity e dal disaster recovery. I due concetti si concretizzano nei piani di intervento, programmati dall’imprenditore e messi in atto dall’organizzazione, all’occorrenza.

Da un lato, la business continuity è intesa come il processo diretto a individuare le potenziali minacce per un’azienda, così da avviare le strategie e le operazioni necessarie ad assicurare la resilienza della struttura, a seguito del verificarsi di situazioni avverse. In pratica, è la capacità di continuare a lavorare e a svolgere le attività aziendali anche in condizioni critiche.

Il programma degli interventi è il business continuity plan (il piano di continuità operativa) il quale è il complesso delle procedure, documentate, necessarie alle organizzazioni per rispondere, recuperare, riprendere e ripristinare le operatività a seguito di un’interruzione.

Dall’altro lato, il disaster recovery è l’insieme delle misure tecnologiche e logistico organizzative dirette a ripristinare dati, applicazioni e sistemi informatici necessari ad assicurare l’operatività del business per imprese, associazioni o enti, al verificarsi di guasti tecnici, calamità naturali o gravi emergenze che minacciano la sopravvivenza aziendale.

Il disaster recovery plan è il documento che esplicita queste misure, raccogliendo le procedure da adottare (a partire dalla classificazione dei dati e dei sistemi critici), ed è compreso all’interno del più ampio business continuity plan. Ne rappresenta, quindi, solo un aspetto.

Infatti, il business continuity plan tiene conto non solo dell’eventuale compromissione della funzionalità tecnologica dell’azienda, ma anche degli eventi economici, normativi, sociali e finanziari che impattano sull’attività dell’organizzazione.

 

L’importanza della continuità operativa

Per garantire la business continuity, occorre raggiungere un livello di preparazione aziendale che permetta di mantenere operative le funzioni critiche dopo un’emergenza o un’interruzione delle attività. Questi eventi possono includere violazioni della sicurezza (ad esempio il data breach) eventi disastrosi, interruzioni di alimentazione, guasti alle apparecchiature o improvvisa conclusione dell’attività di un dipendente chiave.

La business continuity è, quindi, la capacità di un’organizzazione di mantenere le funzioni essenziali, quindi continuare a svolgere le proprie attività, durante e dopo un disastro o incidente. La pianificazione della continuità operativa stabilisce processi e procedure di gestione dei rischi, che mirano a prevenire interruzioni dei servizi da cui dipende il business dell’impresa e ristabilisce la piena funzionalità dell’organizzazione, nel modo più rapido e fluido possibile.

Il requisito fondamentale per la business continuity è mantenere attive le funzioni essenziali durante un disastro e ripristinarle con il minor tempo di inattività possibile.

La continuità aziendale è importante per le organizzazioni di qualsiasi dimensione, soprattutto oggi dato che, con la rivoluzione cloud, le infrastrutture It stanno diventando progressivamente servizi e, con il passaggio di molti dati e carico di lavoro su piattaforme esterne alle imprese, un blocco o un imprevisto devono essere immediatamente sanati. In gioco, infatti, c’è la salute stessa del business di un’azienda.

Secondo una corrente di pensiero, il primo passo nella pianificazione della business continuity è decidere quali delle funzioni di un’organizzazione sono essenziali e destinarne di conseguenza il budget disponibile. Una volta identificati i componenti cruciali, è possibile mettere in atto meccanismi di failover.

L’analisi dell’impatto aziendale al verificarsi di un evento, che può rappresentare il blocco alla continuità aziendale, mira a rivelare eventuali punti deboli dell’organizzazione. Questo rapporto consente di comprendere le funzioni e i sistemi cruciali a cui dare la priorità in un piano di continuità operativa, ovvero il business continuity plan.

Quest’ultimo si fonda su tre elementi chiave: resilienza, recupero e contingenza. Un’azienda può aumentare la resilienza progettando funzioni e infrastrutture critiche, tenendo conto di varie possibilità di catastrofe.

Il recupero, ovvero il rapido ripristino delle funzioni aziendali dopo un disastro, è cruciale. L’impostazione degli obiettivi del tempo di recupero per diversi sistemi, reti o applicazioni può aiutare a stabilire le priorità per gli elementi che devono essere recuperati per primi.

Per quanto riguarda la contingenza, un piano di emergenza ha procedure pronte per una varietà di scenari esterni e può includere una catena di comando, che distribuisce le responsabilità all’interno di un’organizzazione.

 

Il rapporto tra business continuity e disaster recovery. Il backup

Il disater recovery comprende le strategie e le azioni necessarie al ripristino dell’infrastruttura It aziendale a seguito di eventi dannosi, come attacchi informatici, guasti o calamità naturali.

Il piano di disaster recovery identifica le possibili minacce a sistemi e applicazioni It, valutandone la vulnerabilità e stabilendo le priorità da proteggere per la continuità del business.

Un ruolo importante è quello del backup, il quale è un processo di disaster recovery, che rappresenta la messa in sicurezza delle informazioni del sistema informatico, attraverso la creazione di una ridondanza delle informazioni stesse (il salvataggio dei dati per mezzo di una o più copie di riserva, si pensi soprattutto ai dati particolari tutelati dal Gdpr ) da utilizzare come ripristino dei dati stessi, in caso di eventi malevoli accidentali o intenzionali o semplice manutenzione del sistema.

Backup e disaster recovery sono i due aspetti dello stesso problema. Le soluzioni di backup si occupano di raccogliere e archiviare una certa mole di dati in tempi prestabiliti: quei dati devono essere immagazzinati secondo compliance e devono essere recuperabili in tempi celeri, con modalità immediate. Il disaster recovery, invece, più che un processo è una strategia.

 

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

 

Inizia con il piede giusto e scopri le best practice per garantire la continuità operativa alla tua impresa attraverso le strategie aziendali.

 

Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.